NimzaLoader Malware
Um novo carregador de malware em estágio inicial chamado NimzaLoader foi observado como parte de uma campanha de ataque em andamento. Acredita-se que a operação ameaçadora seja realizada pelo ator da ameaça TA800 e, até o momento, teve como alvo uma centena de organizações espalhadas por vários setores da indústria. A ameaça de malware é distribuída por meio de e-mails de phishing altamente personalizados, direcionados a funcionários individuais da entidade escolhida.
Os emails de isca incluem detalhes pessoais sobre as vítimas, como seus nomes e empresa, e fingem ter sido escritos por um colega de trabalho que deseja ajuda para revisar um suposto arquivo PDF contendo uma apresentação de trabalho. O e-mail fornece um link que redireciona para uma página de destino hospedada na GetResponse, uma plataforma de marketing por e-mail. Na página, as vítimas são apresentadas a outro link para baixar o PDF falso que é o executável NimzaLoader.
A pesquisa inicial apontou que o NimzaLoader é uma variante de um carregador de malware anterior usado pelo grupo TA800, mas uma análise mais completa revelou que esse não é o caso. O NimzaLoader é uma cepa de malware distinta que exibe várias diferenças importantes quando comparado ao BazaLoader. As duas ameaças usam diferentes técnicas de ofuscação, diferentes métodos de descriptografia de string e algoritmos de hash separados. Outras características do NimzaLoader incluem o uso de JSON como parte das comunicações com os servidores Command-and-Control (C2, C&C) e que não possui um algoritmo de geração de domínio.
Uma vez implantado no computador visado, o NimzaLoader pode ser instruído a executar o powershell.exe e injetar o shellcode nos processos. Os pesquisadores da Infosec não foram capazes de determinar as cargas entregues aos dispositivos infectados, mas certas evidências apontam para que seja o poderoso malware Cobalt Strike. O malware também vem com uma data de expiração na forma de um carimbo de data/hora integrado, após a qual o NimzaLoader não será executado.
O Malware NimzaLoader reforça a tendência entre os cibercriminosos de procurar linguagens de programação obscuras e menos populares para suas criações ameaçadoras. O NimzaLoader foi escrito na linguagem de programação Nim, que também foi usada para o desenvolvimento de uma ferramenta de carregamento pelo agente de ameaça Zebrocy recentemente. Fazer isso tem seus benefícios para os invasores, pois torna a detecção das ameaças mais difícil, ao mesmo tempo que aumenta a dificuldade de qualquer tentativa da comunidade de segurança cibernética de fazer engenharia reversa delas.
